Contrôle OPA d’admission pour cluster privé GKE
1430
Created On 02/10/22 18:37 PM - Last Modified 01/23/26 18:41 PM
Symptom
Tous les déploiements ont échoué après l’application OPA du contrôle d’admission à partir de la console Prisma.
Environment
- Cluster privé GKE , Toutes les versions
- Prisma Cloud Calcul SaaS et version auto-hébergée supérieure à 21.04
Cause
Defender n’a pas pu atteindre le cluster en raison d’une règle manquante firewall .
Resolution
- Vérifiez le numéro de port utilisé par defender dans le cluster à l’aide de cette commande
kubectl describe svc defender -n twistlock
- Aller au GKE compte,
VPC Network >> Firewall
- Recherchez l’entrée correcte, qui porte le nom de votre cluster
<<Cluster-name-master>
- Après avoir sélectionné l’entrée correcte dans Firewall la liste, cliquez sur cette entrée et cliquez sur modifier
- Après avoir cliqué sur modifier, faites défiler jusqu’à la section ports et protocole et ajoutez le port correct dans la colonne tcp Prenez le numéro de port de l’étape 1 (par exemple 9998)
- Veuillez enregistrer les paramètres.
- Après avoir enregistré les paramètres, déployez le contrôle d’admission (validation du webhook) dans le OPA cluster privé GKE .
- Déployer un espace privilégié à l’aide de cette configuration à des fins de test
apiVersion: v1 kind: Pod metadata: name: nginx labels: app: nginx spec: containers: - name: nginx image: nginx ports: - containerPort: 80 securityContext: privileged: true
- Veuillez vous connecter à la console Prisma et vérifier
Compute>>Events>>Admission Audit
Vous devriez recevoir un audit d’admission pour le cluster privé spécifique
Additional Information
Veuillez consulter ce document pour Open Policy Agent -
https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/access_control/open_policy_agent.html